Shadow IA : quand les équipes introduisent en cachette l’IA dans leur organisation

16 juillet 2025

Qu’on l’appelle « IA clandestine », « intelligence artificielle de l’ombre » ou « Shadow IA », l’utilisation de l’IA dans le cadre de son travail avec ses outils personnels représente une réalité pour beaucoup d’organisations. Et une menace majeure. Décryptage.

L’informatique parallèle ou fantôme (« shadow IT ») est un phénomène bien connu des directions informatiques. Mais depuis l’émergence de ChatGPT et des autres outils d’IA générative, il prend une nouvelle ampleur avec des salariés qui se servent de ces robots conversationnels pour écrire des courriels, réaliser des présentations, produire des textes, approfondir leur stratégie… souvent sans en parler à leur hiérarchie.

Cette dernière n’est toutefois pas dupe : selon une étude Dataiku & Harris Poll, 94 % des dirigeants suspectent leurs collaborateurs d’utiliser des outils d’IA générative sans autorisation ! Un chiffre peut-être un peu exagéré mais qui traduit tout de même l’ampleur potentiel du sujet, alors que plus d’un cadre sur trois dit utiliser des outils d’intelligence artificielle (IA) générative dans le cadre professionnel au moins une fois par semaine, selon une enquête de l’Association pour l’emploi des cadres, en France.

L’IA clandestine se développe généralement dans les contextes de vide réglementaire ou d’interdiction, voire de négligence dû à une méconnaissance de cette nouvelle technologie. Avec un risque certain de faille de sécurité, de conformité réglementaire ou encore de gouvernance des données.

Une mésaventure arrivée, entre autres, à Samsung. Début 2023, le géant sud-coréen de l’informatique s’est rendu compte que des ingénieurs avaient partagé accidentellement des données sensibles de l’entreprise (code source, notes de réunions)… en les collant dans ChatGPT pour vérifier qu’il n’y avait pas d’erreurs dedans ! Rappelons en effet que ces robots conversationnels améliorent leurs réponses futures en se nourrissant des données qu’ils reçoivent.

Que faire alors pour les organisations ?

En juin 2025, une enquête menée par l’Institut national de recherche en informatique et en automatique (Inria) et datacraft, un groupe de data scientists, s’est penchée sur ce comportement qui représente aussi bien des opportunités stratégiques qu’un enjeu de sécurisation des pratiques.

On y apprend que les organisations peuvent opter pour quatre différentes options :

• la dissuasion pure et simple
• l’ignorance et la passivité
• la permissivité
• l’accompagnement structuré et l’innovation encadrée

Les organisations pionnières, plutôt que freiner les usages informels, en font un levier de transformation. Si toutes les organisations pionnières ont connu les différents états, c’est la rapidité avec laquelle elles ont transité d’un état à l’autre qui les distingue », décrit ainsi le rapport.

Un mouvement qui doit se faire en trois temps :

• Le pilotage – en rendant les usages visibles, en évaluant les risques et en posant un cadre minimal
• Le partage – en « socialisant » les pratiques afin d’en extraire de la valeur collective (ateliers, présentations, débats…)
• L’outillage – en déployant des environnements sécurisés, des guides d’usage, des chartes dynamiques et des formations adaptées.

L’objectif : reconnaître et mettre en réseau des savoir-faire qui sont par nature diffus. Et de passer de la logique de bricolage à une stratégie assumée et sécurisée.

La réponse aux usages informels ne peut être ni l’interdiction par défaut, ni l’ouverture sans limite. Elle passe par la mise en place d’un cadre de confiance, suffisamment clair pour sécuriser, suffisamment souple pour évoluer », précise le rapport.

Qui recommande ainsi de :

• Définir les données et usages permis ou proscrits,
• D’expliciter les responsabilités des collaborateurs comme des gestionnaires,
• De prévoir des mécanismes de supervision légers mais réactifs,
• D’adopter une gouvernance itérative, connectée aux pratiques réelles.

Un guide de bonnes pratiques nécessaires à l’heure où bien des entreprises se précipitent dans l’intégration de l’IA dans leur quotidien. Comme le pointait, dans un langage direct, Patrick Opet, le directeur de la sécurité de la banque américaine JP Morgan Chase :

Nous voyons des organisations déployer des systèmes qu’elles ne comprennent fondamentalement pas. Les fournisseurs de solutions doivent donner la priorité à la sécurité sur la course aux nouvelles fonctionnalités ».

IA sans conscience n’est que ruine de l’âme.

Formation webinaire: IA : Comment l’intégrer efficacement dans votre organisation

IA : Comment l’intégrer efficacement dans votre organisation. Identifiez les stratégies fondamentales pour réussir l'implémentation de l'intelligence artificielle dans votre entreprise

formations.isarta.fr

Formation webinaire: IA et droit : responsabilité, protection des données et droit d’auteur

IA et droit : responsabilité, protection des données et droit d’auteur. Explorez les défis juridiques de l'IA avec une analyse de la responsabilité civile, du droit d’auteur et de la protection des renseignements

formations.isarta.fr